List Header

evaki

#3
Man kann das Thema ein wenig vertiefen, mit Optionen wie
header_remove
php.net/header_remove

header_register_callback
php.net/manual/de/function.header-register-callback.php

fake header
forum.WebsiteBaker.org/index.php/topic,31519.msg220570.html#msg220570

Wie man verschlüsselte Nachrichten auch ohne SSL an den Mann bringen kann, dürfte schnell einleuchten.

MfG. Evaki

evaki

#2
Ein anderer zusätzlich gesetzter Header, der 2018 experimentell verwendet wurde:
Set-Cookie: wb-3395-sid=0; token=deleted; path=/; Max-Age=-0; expires=Thu, 01 Jan 1970 00:00:00 GMT, wird auch angezeigt, wobei wb-3395 die Sitzungs ID der jeweiligen WB-Installation ist. Er bewirkt, daß kein Session-Cookie ausgegeben wird, genauer, es wird "DELETED" als aktueller und möglicher Wert ausgegeben. Auch hier läßt sich das Setzen an Bedingungen knüpfen.

Wozu das alles überhaupt? Abgesehen vom Sicherheitsdenken, läßt sich so auch einfach sehen, ob jede view-Ausgabe (Module) die gesetzten Header unberührt läßt.
MfG. Evaki

evaki

In's Template damit.
<div class="header"><br><p>
<?php
//if($wb->is_authenticated()) {
//or
if ( isset($page_id) AND $page_id==1) {
echo "Header:<br>";
$headers = headers_list(); 
    foreach ( $headers as $header ) 
        { 
        echo "$header<br>"; 
        }
  } else{ echo ''; }  ?>

</p>
</div>

Sowas kommt von sowas:
Header:
Strict-Transport-Security: max-age=2592000
Content-Security-Policy: script-src 'self'
X-Content-Security-Policy: script-src 'self'
X-WebKit-CSP: script-src 'self'
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Referrer-Policy: no-referrer
Feature-Policy: vibrate 'self'; sync-xhr 'self' https://your-domain.tld
Content-type: text/html; charset=utf-8
Content-Language:de,en,nl,pl,es,ru,br,fr,it,pt,to
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Content-Script-Type: text/javascript
Content-Style-Type: text/css

Ist immer schön, daß man alles auf einen Blick hat.
MfG. Evaki